Новая тактика Remcos: обход защиты и маскировка под системные файлы

После установки вредоносная программа предоставляет злоумышленникам полный контроль над компьютером, включая кражу паролей, запись нажатий клавиш и другие формы шпионажа. Для долговременного присутствия в системе Remcos использует скрытые методы, такие как создание заданий в планировщике задач или внесение изменений в реестр.

В последней кампании злоумышленники использовали скомпрометированные почтовые ящики, чаще всего принадлежащие небольшим компаниям или образовательным учреждениям. Это позволило снизить подозрительность писем и обойти спам-фильтры. Вложения, как правило, представляют собой архивные файлы (TAR), содержащие вредоносные ярлыки LNK.

Анализ LNK-файлов показал, что они содержат внедренный PowerShell-скрипт, который загружает зашифрованный в Base64 исполняемый файл (EXE) с сервера злоумышленников. После декодирования файл сохраняется на диск с расширением .pif - редко используемым форматом, который может ввести пользователей в заблуждение.

Полученный EXE-файл, скомпилированный с помощью Borland Delphi, был упакован и имел значок PDF, что делало его похожим на документ. При запуске он создавал копию себя, а также несколько пакетных файлов (.cmd) с запутанным кодом, содержащим случайные символы и текст на арабском или японском языках. Это усложняло автоматический анализ антивирусными системами.

Один из ключевых методов скрытности заключался в использовании специального префикса "\\?\", который позволяет обходить стандартные ограничения Windows на длину и формат путей. С его помощью вредонос создавал поддельные системные папки, например, "C:\Windows \SysWOW64" (с лишним пробелом), что затрудняло обнаружение аномалий.

Для обеспечения постоянного доступа злоумышленники настраивали задание в планировщике задач, которое запускало .URL-ярлык, в свою очередь, активирующий зараженный .pif-файл. Кроме того, Remcos изменял параметры реестра, отключая строгий режим контроля учетных записей (UAC), что позволяло вредоносу получать повышенные привилегии без запроса подтверждения у пользователя.

После успешного внедрения Remcos внедрялся в легитимный системный процесс "SndVol.exe" (отвечающий за управление звуком), чтобы скрыть свою активность. Затем он устанавливал соединение с командным сервером (C2), расположенным на хостинге OVHcloud, используя нестандартный порт 32583.

Эта кампания демонстрирует, насколько изощренными становятся методы скрытности вредоносного ПО. Использование обманных путей, поддельных папок и маскировки под системные процессы делает Remcos особенно опасным. Пользователям и ИТ-специалистам следует быть предельно внимательными к подозрительным письмам, необычным расширениям файлов и аномалиям в системных каталогах.

Domains

• 5y9pfu.missileries-fenagle.yelocom.com

URLs

• siraco.net/acheck3.dat

SHA1

• 25591e9139b1c93e10ee2f22b86abb6da98785db
• 61fdc4135afdc99e106912aeafeac9c8a967becc
• 6235b00643e324ac5fea07f9adae9f2a0db56b99
• 647fa7a36ec8d553c7b431acfb74cb55b475fa0e
• bc7172dec0b12b05f2247bd5e17751eb33474d4e
• d14ffa3b95ae110794c1932581a0c3a0030521d4